Seite 3: RPKI ist einsatzbereit

Inhaltsverzeichnis

Bush war ab 2000 in die Vorarbeiten für RPKI und BGPsec involviert, die beiden Programme, mit denen das ungesicherte, alte BGP nachgerüstet werden soll, und sorgte mit dafür, dass auch Routerhersteller und Operator mit von der Partie waren. In monatlichen Treffen wurden die beiden Standardideen entwickelt und ab 2005 in der IETF in RFCs übernommen.

Resource Public Key Infrastructure (RPKI) ist das Rückgrat für die schrittweise Absicherung von AS-Nummern und Routing-Präfixen. Im ersten Schritt wurde die Infrastruktur genutzt, um Route Origin Authorisations (ROA) zu erstellen, also mit klassischer PKI-Kryptografie zu hinterlegen, für welche IP-Präfixe ein Autonomous System, ein Netz, verantwortlich ist. Damit sollen in erster Linie die häufig vorkommenden Fehler beim Announcement von Routen verhindert werden. Begrenzt hilft diese Maßnahme auch gegen solche "Hijacking-Aktionen", die nicht als böswillige Aktionen geplant sind. Versehentliche Routen-Leaks lassen sich durch die Validierung von ROAs gut in den Griff bekommen, bestätigt Bush. Er spricht von RPKI als einem "Uuups-Feature".

Der Vergleich zweier "versehentlicher" Angriffe auf Twitter illustriert die Schutzwirkung. Noch im Februar 2021 hatte Twitter keine ROAs hinterlegt, daher sorgte eine Zensuraktion der Militärregierung von Myanmar für einen längeren Ausfall des Dienstes. "Als die russische RTCom vor ein paar Wochen die IP-Adressen von Twitter aus ihrem Netzwerk ankündigte, kam das nicht weit im Netz. Die Validierung von Routen funktioniert", sagt Bush.

Die versehentlichen Routen-Leaks

"Langsam, aber sicher verbreitet sich RPKI", ist Bushs Antwort auf die aus seiner Sicht leicht alarmistisch wirkende Notiz der FCC. Tatsächlich hat es immerhin ein Jahrzehnt seit Verabschiedung des ersten von mittlerweile 40 RFCs zur Signierung und Validierung von Adressraum-Inhaberschaft gedauert.

Aber für 2020 notiert der niederländische Routing System Experte Job Snijders den globalen Start von RPKI Origin Validierung bei Telia, NTT, LINX, Telstra, HK-IX, GTT, Cogent, Amazon und vielen anderen. Auch das BSI konstatiert in seiner Studie: "Mit zunehmender Verbreitung der Resource Public Key Infrastructure (RPKI), durch die die Gültigkeit von Routen-Updates kryptografisch verifiziert werden kann, wird sich dem Problem von Route Leaks perspektivisch besser begegnen lassen."

Im Vergleich der regionalen Adressverwalter, bei denen die Zertifikate hinterlegt werden, präsentiert sich die RIPE Region – das sind Europa und der Nahe Osten – mit fast hundert Prozent signierten Adressbereiche ziemlich gut. Die Zahlen des NIST-Monitoring-Dienstes verraten aber auch, dass weltweit erst rund 63 Prozent der Präfixe signiert sind. Wie zäh der Fortschritt bleibt, wird auch dadurch illustriert, dass auch die Implementierungen der Großen in Deutschland wie der DTAG, für die Volk bis zu seiner Pensionierung RPKI umgesetzt hat, alles andere als perfekt sind. Ein Testtool von Cloudflare legt jedenfalls nahe, dass man bei der Validierung von Routen noch großzügig über als invalide gemeldete hinwegsieht.

Nächster Schritt Pfadvalidierung

Ist man bei RPKI und der Signierung und Validierung von Präfixen und darauf aufbauenden Filterung von Routen vorangekommen, ist der zweite Satz an Standards, das BGPsec-Protokoll, Zukunftsmusik. Fünf Jahre später in die Standardisierung gebracht, ist BGPsec seit 2017 in RFC8204 spezifiziert. Es sichert die Routing-Informationen auf dem Weg durch das Netz ab.

Statt allein die Authentizität des Ursprungs einer Routenankündigung zu prüfen, soll so sichergestellt werden, dass entlang des Pfades keine Manipulationen passieren. Erst damit lassen sich letztlich bösartige Präfix-Entführungen verhindern, zumindest, wie die Perfektionisten Bush und Volk sagen, einigermaßen.

Doch BGPsec ist auf aktueller Router-Hardware noch nicht zu bewerkstelligen und fordert den Netzbetreibern einen erheblichen Mehraufwand für die vielen Schlüssel ab, die für jeden Hop notwendig sind. Seit seiner Spezifikation habe das an sich nützliche Protokoll "keine relevante Verbreitung erfahren", teilt die BSI-Sprecherin mit und fügt an: "Es ist weiterhin von einer zögerlichen Adaption auszugehen. Daher begrüßt das BSI die Abfrage der FCC, um Hemmnisse für den Einsatz von BGPsec zu identifizieren."